Cyberriskverzekeringen: de feiten op een rijAl bijna dertig jaar dekken cyberriskverzekeringen schades

en kosten die het gevolg zijn van een groeiend aantal

cyberincidenten. Toch zien wij in de praktijk dat er soms

onduidelijkheden bestaan over de werking en dekking van

cyberriskverzekeringen. Het is goed om misverstanden weg

te nemen want cyberriskverzekeringen zijn een essentieel

onderdeel in het cyberrisicomanagementprogramma van een

organisatie. Het is een goede en bewezen effectieve manier

van risicomitigatie.

Organisaties worden blootgesteld aan een steeds groter

arsenaal aan cyber- en technologierisico’s en de potentiële

financiële gevaren groeien navenant. We hebben het in dit

verband niet alleen over cybercriminaliteit, maar ook over

systeem falen (bijv. een storing binnen uw ICT-systeem of bij

een ICT-serviceprovider) en fouten of vergissingen van uw

personeel. Het is dan ook geen verrassing dat organisaties

cyberrisico’s als één van hun vijf grootste zorgen noemen.

Doordat het risico meer wordt onderkend, sluiten organisaties

steeds vaker een cyberriskverzekering af. Zij kunnen zich op

deze manier beschermen tegen de financiële schade van een

cybervoorval en gebruik maken van de ondersteuning van het

panel van experts die aan deze verzekeringen gekoppeld zijn.

Meer interesse, claims en uitbetalingen

Het scala aan cyberrisico’s en verzekeringsdekkingen

is toegenomen, net als de verzekeringsdichtheid van

cyberriskverzekeringen. Het aantal klanten van Marsh dat

cyberriskverzekeringen afsluit, is in de afgelopen vijf jaar

verdubbeld en 40% heeft inmiddels een verzekering.

Uit recent onderzoek van Marsh in samenwerking met

Microsoft blijkt dat 47% van de Nederlandse organisaties

aangeeft een cyberriskverzekering te hebben of binnen

12 maanden af te sluiten. Door onze leidende rol heeft

Marsh veel innovaties bewerkstelligd in de dekkingen van

cyberriskverzekeringen. Dit heeft niet alleen geleid tot het

aantrekken van nieuwe klanten, maar ook verzekeringen

onder Marsh klanten zijn sinds 2016 jaarlijks met 15%

toegenomen.

CYBER PRACTICE

FIGUUR

1Percentage klanten dat cyberriskverzekeringen afsluit, is sinds 2014 verdubbeld BRON: MARSH PLACEMAP

19%

2014

22

%

2015

26

%

2016

31%

2017

38

%

2018

Niet alleen het aantal afgesloten cyberriskverzekeringen

is aanzienlijk gestegen maar gelijk daarmee ook de

cyberriskverzekeringsclaims en de uitbetaling daarvan.

Volgens CreditSights betaalden in de VS gevestigde

verzekeringsmaatschappijen in totaal EUR 356 miljoen in

cyberclaims uit, tegen EUR 204 miljoen het jaar ervoor.

NetDiligence meldt bovendien dat het aantal claims dat werd

opgenomen in zijn Cyber Claims Study, met meer dan 40% is

gestegen in 2018 ten opzichte van het jaar ervoor.

Individuele verzekeraars melden vergelijkbare trends:

• AIG geeft aan dat het in 2018 wereldwijd meer dan 2.000

cyberclaims afhandelde;

• Beazley handelde in 2018 meer dan 3.300 data-incidenten af -

en meer dan 10.000 sinds 2009;

• In 2018 betaalde cyberverzekeraar CFC meer dan 1.000

cyberclaims uit en de verwachting is dat dit cijfer met 50% zal

stijgen in 2019;

• Hiscox had te maken met meer dan 1.000 cyber gerelateerde

verzekeringsclaims in 2017, een stijging van 1.300% ten

opzichte van 2013;

• De ‘Association of British Insurers’ gaf onlangs aan dat 99%

van de claims, in 2018 gemeld op een cyberriskverzekering,

zijn uitbetaald. Hoewel voor Nederland zulke onderzoeken

nog niet zijn uitgevoerd, is aannemelijk dat hier dezelfde

tendens te zien zal zijn.

Veel organisaties onderkennen de impact die een

cyberincident kan hebben op de bedrijfsvoering en zien in een

cyberriskverzekering een effectieve en adequate manier om

de schade als gevolg van een cyberincident te mitigeren en de

financiële schade te dekken.

Belangrijke feiten over cyberriskverzekeringen

Ondanks de groeiende belangstelling voor cyberriskver-

zekeringen, verwachten sommige organisaties nog steeds

dat schades als gevolg van een cyberincident volledig

worden vergoed door ‘traditionele’ polissen (zoals Brand- en

Bedrijfsschadeverzekeringen, Aansprakelijkheidsverzekering

voor Bedrijven en Fraudeverzekeringen).

Het probleem is dat cyberrisico’s vele gedaanten kennen en op

verschillende manieren schade kunnen veroorzaken, die niet

gedekt worden door traditionele polissen.

GEEN OF BEPERK TE DEKKING OP TR ADITIONELE

S TANDA ARDVER ZEKERINGEN

• Een Brand- en Bedrijfsschadeverzekering dekt materiële

schade aan zaken (en de daaruit volgende bedrijfschade) als

gevolg van een gedekt evenement. Bij cyberrisico’s is er veelal

geen materiële schade en data is geen ‘zaak’. Cyberschade

is daardoor veelal niet gedekt en de daaruit voortvloeiende

gevolgschade (bedrijfsschade/extra kosten) dus ook niet;

• Een Aansprakelijkheidsverzekering voor Bedrijven (zonder

dekking vermogensschade) dekt de aansprakelijkheid ten

opzichte van derden voor zaak- en/of personenschade, dus

geen dekking voor cyberincidenten (= veelal geen zaak-/

personenschade) en geen dekking voor eigen schade;

• Een Beroepsaansprakelijkheidsverzekering dekt dat deel

van de cyberrisico’s (aansprakelijkheid t.o.v. derden) die het

gevolg zijn van fouten in de uitvoering van de verzekerde

professionele diensten;

• Fraudeverzekering dekt veelal verlies van eigen geld, niet

van data.

Technologie is de drijvende kracht achter organisaties en supply

chains en daarom zijn organisaties in alle sectoren kwetsbaar

voor cyberincidenten. Misverstanden of misvattingen over

cyberriskverzekeringen kunnen er mogelijk voor zorgen dat

organisaties ten onrechte afzien van het afsluiten van een

cyberpolis.

Onderstaand enkele veelvoorkomende mythes:

Mythe: “Een cyberriskverzekering dekt geen menselijke fouten.”

Feit: Hoewel cyberriskverzekeringen in het verleden met

name ontworpen waren voor datalekken en om kwaadaardige

cyberincidenten aan te pakken, zijn ze doorontwikkeld en

dekken ze nu een breed scala aan operationele en menselijke

risico’s. Waaronder: niet-bedoelde openbaarmaking, verlies van

data door bijvoorbeeld een gestolen laptop of apparaat, malafide

werknemers en mislukte updates of mislukte systeemmigratie.

Over het algemeen sluiten cyberpolissen dekking voor

onbedoelde fouten of verzuim niet uit en vele dekken dergelijke

risico’s uitdrukkelijk wel.

Mythe: “De vergoeding inzake datalekken is uitsluitend gericht op wettelijke aansprakelijkheid.” Feit: Cyberriskverzekeringen bieden een brede dekking, met

name voor incidentmanagement, waaronder mogelijk juridische

kosten, crisisbeheer, callcenters, ICT-forensisch onderzoek,

kredietbewaking en meldkosten. Een cyberriskverzekering dekt

over het algemeen ook de bedrijfsschade en/of extra kosten als

gevolg van bedrijfsonderbreking en het verlies van data.

2 • Cyberriskverzekeringen: de feiten op een rij

Mythe: “Verzekeraars bepalen welke dienstverleners bij incidentrespons worden ingeschakeld.” Feit: Hoewel de meeste cyberverzekeraars een aanbevolen

panel van dienstverleners hebben (ICT-forensisch, juridisch

en PR adviseurs), zijn vele verzekeraars bereid te werken met

bestaande of voorkeursdienstverleners van een verzekerde.

Sommige verzekeraars laten verzekeringnemers zelfs volledig

vrij in keuze van dienstverlener.

Mythe: “De dekking voor cyberbedrijfsschade is beperkt.”

Feit: De dekking voor cyberbedrijfsschade is aanzienlijk

geëvolueerd en past bij de wijze waarop organisaties

tegenwoordig functioneren. De dekking omvat doorgaans

de algehele financiële impact op het bedrijf, dus niet alleen

de directe schade tijdens het cyberincident. Veel polissen

dekken ook verliezen als gevolg van een systeemstoring bij

de organisatie zelf en/of bij de ICT-leveranciers. Sommigen

cyberriskverzekeringen bieden ook dekking voor systeem-

storingen van de niet ICT-leveranciers binnen de supply chain

van verzekerde.

FIGUUR

2Dekkingen cyberriskverzekeringen

Dekkingen cyberriskverzekering

PRIVACY-AANSPRAKELIJKHEIDSchadevergoeding en kosten van verweer in verband aanspraken van derden als gevolg van verlies of openbaarmaking van persoonsgegevens en/of bedrijfsinformatie.

MEDIA-AANSPRAKELIJKHEIDSchadevergoeding en kosten van verweer in verband met aanspraken van derden die voortvloeien uit multimedia-activiteiten van de verzekerde. Bijvoorbeeld smaad en laster of plagiaat.

NETWERK-AANSPRAKELIJKHEIDSchadevergoeding en kosten van verweer in verband met aanspraken van derden als gevolg van diefstal van gegevens, beschadiging van data, het versturen malware of een (D)Dos-aanval op computersyste-men van een derde via uw computersysteem als gevolg van onvoldoende beveiliging.

CRISISMANAGEMENTKosten (forensisch) onderzoek, PR, klant notificatiekosten, kredietbewaking, ICT-diensten, cyberincident responsediensten.

CYBER-/PRIVACYAFPERSING, WAARONDER RANSOMWARESchadevergoeding en kosten van (forensisch) onderzoek, ICT-diensten, cyberincident responsediensten en eventueel betaald losgeld.

HACKING TELEFOONCENTRALEVergoeding van de extra belkosten.

BOETESKosten voor onderzoek door een toezichthouder, juridische bijstand, PCI DSS boetes en bestuurlijke boetes vanuit privacywetgeving (voor zover wettelijk toegestaan).

CYBERBEDRIJFSSCHADEGederfde bruto winst in verband met cyberbedrijfsschade en extra kosten.

HERSTELKOSTENReconstructie van data, opnieuw configureren/installeren van netwerken, systemen en/of applicaties.

Marsh • 3

Dit is marketingcommunicatie.

Op alle diensten van Marsh zijn de Marsh Algemene Voorwaarden van toepassing. Deze kunt u vinden op onze website http://nederland.marsh.com/Overons/OverMarsh.aspx.

Houd er rekening mee dat Marsh geen bemiddelingsdiensten of andere diensten levert die in strijd zijn met de geldende wetgeving inzake handelssancties. Marsh zal geen makelaarsdiensten of andere diensten aanbieden die Marsh zouden kunnen blootstellen aan een sanctie, verbod of beperking krachtens resoluties van de Verenigde Naties of de handels- of economische sancties, wetten of voorschriften van de Europese Unie, Verenigd Koninkrijk, Verenigde Staten of andere van landen.

Copyright © 2019 Marsh B.V. Alle rechten voorbehouden. 19-096

Een zich aanpassende, proactieve markt

Cyberdreigingen evolueren en richten steeds grotere

economische schade aan waardoor de verzekeringsmarkt zich

blijft aanpassen aan de behoeften van organisaties.

Naast ontwikkelingen met betrekking tot de dekking voor

financiële schade, zien wij bij cyberriskverzekeringen met

name ook veel ontwikkeling in ondersteuning om incidenten te

voorkomen en te mitigeren. Hierbij kunt u denken aan een 24/7

hulplijn, de mogelijkheid om experts in te schakelen voor

ICT-forensisch onderzoek en crisismanagement, juridische

experts en PR consultants, maar ook preventie- en

risicobeheertools.

Wij moedigen organisaties aan om samen met ons goed

te kijken naar hun cyberrisico’s en zich te laten informeren

over de dekkingen en aanvullende diensten die een

cyberriskverzekering kan bieden. Door samen te werken met

onze ervaren cyberrisicoadviseurs kunnen organisaties een

cyberriskverzekering verkrijgen die afgestemd is op hun unieke

bedrijfs- en risicoprofiel.

Voor meer informatie, bezoek marsh.nl of neem contact op:

ERIK VAN DE VELDE

Practice Leader Cyber Risk Practice

+31 (0)6 53 83 39 61

erik.vandevelde@marsh.com

SJAAK SCHOUTEREN

NL Cyber Development Leader

+ 31 (0)6 53 81 72 82

sjaak.schouteren@marsh.com

MARCO VAN HENSBERGEN

Senior Broking Specialist, FINPRO Executive Lines & Financial Institutions

+31 (0)6 22 41 66 44

marco.vanhensbergen@marsh.com